Rapport Rekenkamer R’dam over ict toch openbaar

De gemeente dreigde de Rekenkamer met een kort geding, omdat openbaarmaking tot veiligheidsrisico’s zou kunnen leiden.

Burgemeester Ahmed Aboutaleb van Rotterdam Foto Robin van Lonkhuijsen/ANP

Een rapport van de Rotterdamse Rekenkamer waarin flinke kritiek wordt geleverd op de beveiliging van de ict van de gemeente, is toch donderdag openbaar gemaakt. Wel worden er enkele passages “voorlopig verwijderd”.

Uit het onderzoek blijkt onder meer dat de agenda van burgemeester Aboutaleb (PvdA) toegankelijk is voor hackers. Ook zouden hackers voor grote verkeersproblemen kunnen zorgen. Het zou volgens het rapport mogelijk zijn op afstand informatiesystemen binnen te dringen die verkeerslichten en bruggen aansturen. De gemeente wist al jaren van de problemen door meerdere kritische rapporten, maar heeft ze niet opgelost.

Volgens de gemeente Rotterdam zou publicatie van het volledige rapport leiden tot veiligheidsrisico’s. Ze dreigden met een kort geding publicatie tegen te houden. Directeur van de Rekenkamer Paul Hofstra, wees de gemeentelijke kritiek eerder al van de hand:

“Het rapport is geen handboek voor hackers. Die hebben zo’n rapport niet nodig. Er staan geen vertrouwelijke gegevens in het rapport.”

Gedetecteerd

De gemeente reageerde op het rapport tijdens een haastig ingelaste persconferentie. Het was de hackers van de rekenkamer niet gelukt om de gemeentelijke informatie van buitenaf binnen te dringen, benadrukte wethouder Visser (D66), verantwoordelijk voor de gemeentelijke organisatie, donderdag: “Dat is prettig, want daar is de afgelopen tijd veel in geïnvesteerd.”

De hackers konden pas bij gevoelige informatie als zij eerst zonder toestemming ergens bij de gemeente waren binnengekomen, en dan enige tijd ongestoord konden werken. In alle gevallen zijn de hackers gedetecteerd. Dus waakzaam, ja, dat moest de gemeente zijn, zei Visser, maar er zou pas reden zijn tot grote ongerustheid als de hackersbezoeken niet waren gedetecteerd.

Visser beschreef het verweer van de gemeente tegen cyberaanvallen meermalen als een ‘kat-en-muis-spel’. Volledige preventie van aanvallen is onmogelijk, het gaat om zo goed mogelijk detecteren van aanvallen.

Onbezonnen

Op de vraag of het veiligheidslek rond burgemeester Aboutaleb inmiddels was opgelost, wilde Visser niet ingaan. Hij volstond door te verwijzen naar de constatering dat hacken van buitenaf niet was gelukt, en dat ook de aanvallen van binnen de gebouwen allemaal waren opgemerkt. “Ict-beveiliging is een continue proces, waarin we op allerlei manieren investeren.”

De opmerkingen in het rapport over de burgemeester behoorden tot de passages waartegen het college bezwaar had. “Onverstandig en onbezonnen”, noemde Visser het ingaan op de specifieke situatie van de burgemeester.